Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Защита локальной рабочей станции
199
из перечисленных выше типовых задач обеспечения информационной безопасности для ЛРС.
Средства криптографической защиты информации семейства «Верба»
Семейство СКЗИ «Верба» (МО ПИИЭИ) представлено целым рядом программных продуктов, выполненных как в виде законченного программного продукта, так и в виде библиотек, встраиваемых в прикладное ПО. СКЗИ «Верба» подходит практически для всех вариантов ОС - Windows 95/NT, MS DOS, а также для различных модификаций UNIX. При этом для ОС Windows существуют 16-разрядные и 32-разрядные варианты данного СКЗИ.
СКЗИ «Верба» подразделяется на два класса: СКЗИ «Верба» и СКЗИ «Верба-О». Их отличия сводятся к устройству ключевой системы: если в первом классе используются симметричные ключи с предварительным их распределением, то во втором классе применяется открытое распределение ключей.
Далее мы подробно опишем двух представителей СКЗИ семейства «Верба», а именно: «Верба-W» и «Верба-OW».
СКЗИ «Верба-W» представляет собой набор библиотек с реализованными в них функциями шифрования, работы ЭЦП и др. Данное средство может служить криптографическим ядром других средств защиты информации.
Основными функциями СКЗИ «Верба-W» являются:
• зашифрование/расшифрование информации, хранящейся в виде файлов или в виде областей памяти;
• генерация ЭЦП как на отдельные файлы, так и на области памяти. При этом ЭЦП может присоединяться к исходному файлу (области памяти) либо сохраняться в отдельном файле (области памяти);
• проверка ЭЦП как на файлах, так и на области памяти;
• получение идентификатора ключа абонента, зашифровавшего файл (область памяти);
• получение списка получателей зашифрованного файла (области памяти);
• получение имитовставки для файла, причем имитовставка может считаться как на ключе, так и на пароле пользователя;
• вычисление хэш-кода на файл или область памяти;
• функции работы со справочниками открытых ключей (удаление ключа из справочника, добавление ключа в справочник, получение списка открытых ключей в справочнике и т.д.);
200 Компьютерная безопасность и практическое применение криптографии
• сервисные функции: загрузка ключа в оперативную память, удаление ключа из оперативной памяти, получение списка открытых ключей в справочнике, генерация случайного числа.
Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89. Системы обработки информации. Защита криптографическая.
Цифровая подпись выполнена в соответствии с требованиями ГОСТ P 34.10-94. Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма.
Функция хэширования выполнена в соответствии с требованиями ГОСТ P 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
Скорость шифрования информации (PC/AT 486/100) - 500 Кб/с (не включая время, затрачиваемое на контроль работоспособности функций шифрования и обращения к диску).
Время вычисления хэш-функции (PC/AT 486/100) - 400 Кб/с.
Время формирования ЭЦП (PC/AT 486/100) - 0,04 с.
Время проверки ЭЦП (PC/AT 486/100) - 0,2 с.
В комплект поставки данного СКЗИ входят библиотеки с реализованными криптографическими функциями: а) wcryp.dll (содержит функции шифрования, выработки имитовставки, формирования случайного числа); б) wsign.dll (содержит функции формирования электронной цифровой подписи, ее проверки и выработки значения хэш-функции, а также функции работы со справочниками открытых ключей подписи); в) wboth.dll (содержит функции шифрования, выработки имитовставки и случайного числа, формирования электронной цифровой подписи, проверки подписи и выработки значения хэш-функции, функции работы со справочниками открытых ключей подписи). А также ПО, обеспечивающее:
• операции чтения и загрузки ключей с основных носителей в драйвер;
• драйвер хранения ключей для Windows 95 (Windows NT), реализующий функции хранения ключевой информации и инициализации программного датчика случайных чисел;
• интерфейс к драйверу хранения ключей;
• работу с ключевыми носителями типа touch memory и смарт-карта.
Ключевая система построена по принципу полной матрицы (рис. 3.2), обеспечивающей связь каждого с каждым. Совокупность всех исходных секретных ключей парной шифрованной связи в данном случае представляет
Защита локальной рабочей станции
201
к
к.
12»
к
к,
к
к.
2N
IN
K =
к
к
2N> к
NN
Рис. 3.2. Ключевая система типа «полная матрица»
собой симметричную матрицу К размером NxN с элементами Ц, к„ =» Ц, где N - число абонентов сети, кц - ключ шифрования межу i-м и j-м абонентами (256-мерный двоичный вектор).
К важной информации, хранящейся на ключевых носителях (гибкие магнитные диски, touch memory и смарт-карты) пользователей, относятся: ключи шифрования, основу которых составляет строка матрицы К (для обеспечения шифрованной связи i-му абоненту выдается i-я строка матрицы K)1 секретные и открытые ключи ЭЦП и слулсебиые ключи, на которых зашифровываются секретные ключи подписи и шифрования для хранения на лсестком диске.
